(思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家,都是思科Talos的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團隊,也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持)
簡介
數(shù)月以來,思科Talos一直與公、私部門的威脅情報合作伙伴以及執(zhí)法機構(gòu)合作,研究可能由國家支持或國屬高級分子對我們稱為“VPNFilter”的復(fù)雜模塊化惡意軟件系統(tǒng)的廣泛使用。我們尚未完成研究,但近期活動使我們深信,正確的前進方向是即時分享調(diào)查結(jié)果,以便受影響方可采取適當(dāng)行動保護自己。特別是,該惡意軟件代碼與 BlackEnergy 惡意軟件代碼重疊,而后者是針對烏克蘭設(shè)備的多起大規(guī)模攻擊的罪魁禍?zhǔn)?。雖然這尚未最終定論,但我們還觀察到,具有潛在破壞性的惡意軟件 VPNFilter 正在利用專用于烏克蘭的命令和控制 (C2) 基礎(chǔ)設(shè)施,以驚人的速度感染該國主機。綜合考量這些因素,我們認(rèn)為最好在完成研究前發(fā)布目前取得的調(diào)查結(jié)果。盡早發(fā)布意味著我們尚未獲得所有答案 - 我們甚至尚未發(fā)現(xiàn)所有問題 - 所以這篇博客代表我們到目前為止的調(diào)查結(jié)果,在繼續(xù)調(diào)查的過程我們將隨時更新。
此次攻擊行動的規(guī)模和能力之大令人擔(dān)憂。我們攜手合作伙伴,估計至少有 54 個國家/地區(qū)的最少 50 萬臺設(shè)備受到感染。受 VPNFilter 影響的已知設(shè)備包括小型辦公和家庭辦公 (SOHO) 環(huán)境中的 Linksys、MikroTik、NETGEAR 和 TP-Link 網(wǎng)絡(luò)設(shè)備以及 QNAP 網(wǎng)絡(luò)附加存儲 (NAS) 設(shè)備。據(jù)觀察,尚無其他供應(yīng)商(包括思科)受到 VPNFilter 感染,但我們將繼續(xù)調(diào)查。這種惡意軟件在網(wǎng)絡(luò)設(shè)備上的行為尤為令人不安,因為通過 VPNFilter 惡意軟件組件能夠竊取網(wǎng)站憑證和監(jiān)控 Modbus SCADA 協(xié)議。最后,該惡意軟件具有破壞性,可能導(dǎo)致受感染設(shè)備無法使用,這可以在個別受害者計算機上觸發(fā)或集體觸發(fā),并可能切斷全球成千上萬臺受害者計算機的互聯(lián)網(wǎng)接入。
這種威脅發(fā)起者所針對的設(shè)備類型很難保護。這些設(shè)備通常位于網(wǎng)絡(luò)外圍,不具備適當(dāng)?shù)?/div>
入侵防御系統(tǒng) (IPS),且通常無可用的基于主機的保護系統(tǒng),如防病毒 (AV) 軟件包。我們不確定在任何特定情況下使用的特定漏洞,但大多數(shù)目標(biāo)設(shè)備(尤其舊版本)具有能使攻擊長驅(qū)直入的已知公開漏洞或默認(rèn)憑證。所有這些都促成了這種威脅至少自 2016 年以來的悄然增長。
這篇博文為您呈現(xiàn)思科Talos博客中的常規(guī)技術(shù)發(fā)現(xiàn)。此外,我們將利用我們的調(diào)查結(jié)果和分析師背景,詳細(xì)介紹這一威脅背后的間諜情報技術(shù),以討論威脅發(fā)起者的可能思維過程和決策。我們還將討論如何防御這種威脅以及如何處理可能受感染的設(shè)備。最后,我們將分享目前為止所觀察到的危害表現(xiàn) (IOC),但我們堅信還存在更多未知。
簡要的技術(shù)分解
VPNFilter 惡意軟件是一個多階段的模塊化平臺,具有多種功能,可支持情報收集和破壞性的網(wǎng)絡(luò)攻擊操作。
第 1 階段惡意軟件會在計算機重啟后繼續(xù)存在,這與大多數(shù)其他針對物聯(lián)網(wǎng)設(shè)備的惡意軟件不同,因為惡意軟件通常無法在設(shè)備重新啟動后存續(xù)。第 1 階段的主要目的是獲取持久據(jù)點,以能夠部署第 2 階段惡意軟件。第 1 階段利用多個冗余命令和控制 (C2) 機制發(fā)現(xiàn)當(dāng)前第 2 階段部署服務(wù)器的 IP 地址,使得這種惡意軟件極其強大并能夠處理不可預(yù)測的 C2 基礎(chǔ)設(shè)施變化。
第 2 階段惡意軟件(通過不會在重啟后存續(xù))擁有主力情報收集平臺中的常見功能,例如文件收集、命令執(zhí)行、數(shù)據(jù)泄露和設(shè)備管理。但是,第 2 階段的某些版本還具有自毀功能,可覆蓋設(shè)備固件的關(guān)鍵部分并重新啟動設(shè)備,使設(shè)備無法使用?;谕{發(fā)起者表現(xiàn)出的對這些設(shè)備的了解,以及第 2 階段版本中的現(xiàn)有功能,我們非常肯定地評估威脅發(fā)起者可能將這種自毀指令部署至其控制的大多數(shù)設(shè)備,而不管命令是否內(nèi)置于第 2 階段惡意軟件中。
此外,還存在多個用作第 2 階段惡意軟件插件的第 3 階段模塊。這些插件為第 2 階段提供附加功能。在撰寫本文時,我們了解到兩個插件模塊:用于收集通過設(shè)備傳輸?shù)牧髁康臄?shù)據(jù)包嗅探器(包括竊取網(wǎng)站憑證和監(jiān)控 Modbus SCADA 協(xié)議)和允許第 2 階段通過 Tor 進行通信的通信模塊。我們非??隙ǖ卦u定,存在我們尚未發(fā)現(xiàn)的其他幾個插件模塊。
間諜情報技術(shù)討論
我們極為肯定地評定,這種惡意軟件用于創(chuàng)建可擴展且難以確定屬性的基礎(chǔ)設(shè)施,可用于服務(wù)威脅發(fā)起者的多種操作需求。由于受影響設(shè)備為企業(yè)或個人所合法擁有,因此從受感染設(shè)備進行的惡意活動可能會被錯誤地歸咎于實際上是攻擊受害者的那些人。內(nèi)置于惡意軟件各階段和插件的功能極其廣泛,能夠使威脅發(fā)起者以多種方式利用設(shè)備。
高級威脅發(fā)起者(包括民族國家)將盡力使其網(wǎng)絡(luò)活動難以確定歸屬,除非出于利益而公開他們進行的特定行為。為此,高級威脅發(fā)起者使用多種技術(shù)(包括由他人所有的共同基礎(chǔ)設(shè)施)執(zhí)行其操作。在連接至最終受害者前,威脅發(fā)起者可輕松使用感染此惡意軟件的設(shè)備作為跳點,以便混淆其真實起點。
該惡意軟件也可用于收集流經(jīng)設(shè)備的數(shù)據(jù)。此類數(shù)據(jù)可用于簡單的數(shù)據(jù)收集目的,或評估設(shè)備所服務(wù)網(wǎng)絡(luò)的潛在價值。如果網(wǎng)絡(luò)被視為具有威脅發(fā)起者可能感興趣的信息,則其或許選擇繼續(xù)收集通過設(shè)備的內(nèi)容或選擇傳播至連接網(wǎng)絡(luò)以收集數(shù)據(jù)。在本文發(fā)布時,我們尚未獲得能夠進一步利用設(shè)備所服務(wù)網(wǎng)絡(luò)的第三階段插件。然而,我們已經(jīng)看出其確實存在的跡象,且我們能夠評定,如此高級的威脅發(fā)起者很可能會自然地將該功能納入這種模塊化惡意軟件中。
最后,通過使用“kill”命令可將這種惡意軟件用于進行大規(guī)模的破壞性攻擊,導(dǎo)致部分或全部物理設(shè)備無法使用。此命令出現(xiàn)在我們觀察到的眾多第 2 階段示例中,但也可通過利用所有第 2 階段示例中的“exec”命令觸發(fā)。在多數(shù)情況下,大多數(shù)受害者無法恢復(fù)這一操作,因為此項操作需要的技術(shù)能力、專門技術(shù)或工具是一般消費者所不具備的。我們對該功能極為擔(dān)憂,這也是我們在過去幾個月中一直悄然研究這種威脅的主要原因之一。
觀察到的關(guān)注活動
在我們研究這種威脅時,我們實施了監(jiān)控和掃描,來了解這一威脅的范圍和受感染設(shè)備的行為。我們的分析表明,這是種全球性廣泛部署的威脅,正在積極尋求擴張其范圍。在繼續(xù)進行研究的同時,我們也觀察到與此威脅發(fā)起者具有潛在關(guān)聯(lián)的活動表現(xiàn)出可能的數(shù)據(jù)泄露活動。
5 月初,我們觀察到受感染設(shè)備在端口 23、80、2000 和 8080 執(zhí)行 TCP 掃描。這些端口
表現(xiàn)出對正在使用這些端口的其他 Mikrotik 和 QNAP NAS 設(shè)備進行掃描。這些掃描針對
100 多個國家/地區(qū)的設(shè)備。
我們還利用遙感勘測來發(fā)現(xiàn)全球潛在的受感染設(shè)備。此外,我們評估了其集體行為,以試圖確定 C2 基礎(chǔ)設(shè)施的其他功能。眾多這些受害者 IP 表現(xiàn)出極其明顯的數(shù)據(jù)泄露行為。
最后,在 5 月 8 日,我們觀察到 VPNFilter 感染活動急劇增加。幾乎發(fā)現(xiàn)的所有新受害者都位于烏克蘭。還值得注意的是,大多數(shù)烏克蘭受感染設(shè)備均共享來自世界其他地方的位于 IP 46.151.209[.]33 上的單獨第 2 階段 C2 基礎(chǔ)設(shè)施。到目前為止,我們意識到了 BlackEnergy 和 VPNFilter 間的代碼重疊,且先前在烏克蘭發(fā)生的攻擊時間表明下一場攻擊即將來臨。鑒于這些因素以及在與合作伙伴磋商后,我們決定不等研究完成而立即公布已掌握的信息。
在推進公開披露期間,我們又于 5 月 17 日觀察到集中在烏克蘭的新一批 VPNFilter 受害者大幅增長。這使我們更加確定了要盡快發(fā)布我們的研究成果。
圖:隨時間推移新觀察到的 VPNFilter 感染
抵御這種威脅
由于受影響設(shè)備的性質(zhì),抵御這種威脅極其困難。其中大多數(shù)設(shè)備均直接連接至互聯(lián)網(wǎng),與潛在攻擊者之間不存在安全設(shè)備或安全服務(wù)。并且一個事實是大多數(shù)受影響設(shè)備具有眾所周知的漏洞且普通用戶難以修補,這進一步加劇了面臨的挑戰(zhàn)。此外,大多數(shù)設(shè)備沒有內(nèi)置的防惡意軟件功能。這三個事實綜合起來使得防范這一威脅極其困難,導(dǎo)致攔截惡意軟件、消除漏洞或阻止威脅的機會嚴(yán)重受限。
盡管面臨這些挑戰(zhàn),思科Talos已發(fā)布了從多個角度應(yīng)對這種威脅的防御措施,以充分利用現(xiàn)存的有限選擇。我們開發(fā)和部署了超過 100 個 Snort 簽名,用于檢測和阻止與此威脅相關(guān)聯(lián)設(shè)備上可能的眾所周知的漏洞。這些規(guī)則已部署到公共 Snort 集中,任何人均可使用這些規(guī)則幫助保護其設(shè)備。此外,我們已按慣常做法視情況將某些域名/IP 列入黑名單,并將與此威脅相關(guān)的散列進行“定罪”以覆蓋受思科安全生態(tài)系統(tǒng)保護的那些設(shè)備。我們已就此問題與 Linksys、Mikrotik、Netgear、TP-Link 和 QNAP 進行了溝通。(注:QNAP 已意識到 VPNFilter 的某些方面,且先前已做好威脅防范工作。)最后,我們還在本文發(fā)布前與國際執(zhí)法機構(gòu)和網(wǎng)絡(luò)威脅聯(lián)盟的其他成員分享了這些指標(biāo)和我們的研究成果,以便他們能夠迅速采取行動,幫助在更大范圍內(nèi)應(yīng)對這一威脅。
建議
我們建議:
· SOHO 路由器和/或 NAS 設(shè)備的用戶將設(shè)備重置為出廠默認(rèn)設(shè)置并重新啟動,以清除具有破壞性的非持久性潛在第 2 階段和第 3 階段惡意軟件。
· 為用戶提供 SOHO 路由器的互聯(lián)網(wǎng)服務(wù)提供商代表客戶重新啟動路由器。
· 如果您有任何已知或疑似受此威脅影響的設(shè)備,請務(wù)必與制造商合作確保您的設(shè)備具有最新版本的修補程序。如果不是最新版本,則應(yīng)立即應(yīng)用更新的修補程序。
· ISP(互聯(lián)網(wǎng)服務(wù)提供商)積極與其客戶合作,確保設(shè)備已經(jīng)過修補,且應(yīng)用最新的固件/軟件版本。
由于威脅發(fā)起者可能采取破壞性行動,出于高度謹(jǐn)慎,我們建議所有 SOHO 或 NAS 設(shè)備均采取這些措施,無論這些設(shè)備是否已知受此威脅的影響。
結(jié)論
VPNFilter 是種具有擴張性、強勁、功能強大且危險的威脅,將難以實施防御措施的設(shè)備作為目標(biāo)。其高度模塊化的框架允許快速更改威脅發(fā)起者的操作基礎(chǔ)設(shè)施,以服務(wù)其錯誤歸因、情報收集和尋找攻擊平臺的目標(biāo)。
該惡意軟件的破壞能力尤其讓我們擔(dān)心。我們發(fā)現(xiàn)威脅發(fā)起者愿意刻錄用戶設(shè)備來掩蓋其蹤跡,而不僅僅是刪除惡意軟件痕跡。如果某一命令符合威脅發(fā)起者的目標(biāo),則該命令會被廣泛執(zhí)行,這可能會導(dǎo)致成千上萬臺設(shè)備無法使用,使全球范圍內(nèi)或滿足威脅發(fā)起者目的的重點區(qū)域中成千上萬名受害者無法接入互聯(lián)網(wǎng)。
雖然針對物聯(lián)網(wǎng)設(shè)備的威脅不足為奇,但是被更高級的民族、國家的威脅發(fā)起者使用這些設(shè)備進行網(wǎng)絡(luò)操作(可能導(dǎo)致設(shè)備被破壞)這一事實大大增加了處理此問題的緊迫性。我們呼吁整個安全界與我們聯(lián)手,來積極應(yīng)對這一威脅。
隨著威脅不斷發(fā)展,我們將繼續(xù)監(jiān)控 VPNFilter,并與我們的合作伙伴合作,以確保我們的客戶持續(xù)受到保護并向公眾公布調(diào)查結(jié)果。
危害表現(xiàn)(IOC)
如前所述,我們高度懷疑還有其他我們目前尚未發(fā)現(xiàn)的這一惡意軟件的其他 IOC 和版本。以下 IOC 列表包含我們迄今所掌握的情況。
已知 C2 域和 IP
與第 1 階段相關(guān)聯(lián)
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
與第 2 階段相關(guān)聯(lián)
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php
已知文件散列
第 1 階段惡意軟件
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
第 2 階段惡意軟件
9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
第 3 階段插件
f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
自簽證書指紋
d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
已知受影響設(shè)備
已知受到此威脅影響的設(shè)備如下所列。由于這項研究的規(guī)模之大,我們的許多觀察結(jié)果是遠(yuǎn)程而非在設(shè)備上得出的,因此在很多情況下難以確定具體的版本號和型號。需要指出的是,所有這些設(shè)備均具有相關(guān)的公開已知漏洞。
鑒于對此威脅的觀察結(jié)果,我們極為肯定地評定,此列表并不完整且可能有其他設(shè)備受到影響。
LINKSYS 設(shè)備:
E1200
E2500
WRVS4400N
用于云核心路由器的 MIKROTIK ROUTEROS 版本:
1016
1036
1072
NETGEAR 設(shè)備:
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
QNAP 設(shè)備:
TS251
TS439 Pro
運行 QTS 軟件的其他 QNAP NAS 設(shè)備
TP-LINK 設(shè)備:
R600VPN
覆蓋范圍
思科高級惡意軟件保護 (AMP)、云網(wǎng)絡(luò)安全 (CWS)、網(wǎng)絡(luò)安全、ThreatGrid、Umbrella 和網(wǎng)絡(luò)安全設(shè)備 (WSA) 均可保護思科客戶免受此威脅的侵害。此外,StealthWatch 和 StealthWatch Cloud 可用于查找與已知 C2 IP 地址和域進行通信的設(shè)備。
在 StealthWatch 中,需要進行兩項配置以發(fā)送存在與惡意 IP 地址進行通信的風(fēng)險通告。
第一步是使用 Java 用戶界面在“外部主機”下創(chuàng)建名“VPNFilter C2”的新主機組。
創(chuàng)建后,您可能需要驗證目前沒有正在進行的通信。
驗證方式為右鍵點擊最近創(chuàng)建的“VPNFilter C2”主機組,然后導(dǎo)航至“熱門” ->“對話” ->“總計”。
查看這些熱門對話,即可輕松發(fā)現(xiàn)是否存在活動流量。
如果無活動流量,您可以創(chuàng)建風(fēng)險通告,以在觀察到任何進出“VPNFilter C2”主機的流量時生成風(fēng)險通告。
風(fēng)險通告的配置方式為:創(chuàng)建一個自定義事件,并在網(wǎng)絡(luò)用戶界面中選擇適當(dāng)?shù)闹鳈C或?qū)ο蟆?/div>
VPNFILTER 特定 SNORT 檢測:
45563 45564 46782 46783
防范受影響設(shè)備中已知漏洞的 SNORT 規(guī)則:
25589 26276 26277 26278 26279 29830 29831 44743 46080 46081 46082 46083 46084 46085 46086 46287 46121 46122 46123 46124 41445 44971 46297 46298 46299 46300 46301 46305 46306 46307 46308 46309 46310 46315 46335 46340 46341 46342 46376 46377 37963 45555 46076 40063 44643 44790 26275 35734 41095 41096 41504 41698 41699 41700 41748 41749 41750 41751 44687 44688 44698 44699 45001 46312 46313 46314 46317 46318 46322 46323 40866 40907 45157
CLAMAV 簽名:
Unix.Trojan.Vpnfilter-6425811-0
Unix.Trojan.Vpnfilter-6425812-0
Unix.Trojan.Vpnfilter-6550590-0
Unix.Trojan.Vpnfilter-6550591-0
Unix.Trojan.Vpnfilter-6550592-0